Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz – ohne Übergangsfrist, ohne Schonfrist. Wer an diesem Tag betroffen war, war es ab diesem Tag vollständig: mit Registrierungspflicht, Meldepflicht bei Sicherheitsvorfällen und der Pflicht, konkrete Sicherheitsmaßnahmen umzusetzen und nachzuweisen. Für viele Unternehmen war das ein Datum, das lange auf der Agenda stand, aber nicht wirklich ernst genommen wurde. Die Verzögerung des deutschen Gesetzgebungsverfahrens hatte falsche Sicherheit erzeugt.
Für kleine und mittlere Unternehmen stellt sich die Frage nach der eigenen Betroffenheit auf zwei Ebenen: einmal direkt – falle ich unter das Gesetz? – und einmal indirekt, über die Lieferkette. Und genau diese zweite Ebene ist es, die viele KMU noch nicht auf dem Schirm haben.
Wer direkt betroffen ist
Das Gesetz richtet sich an Unternehmen in 18 definierten Sektoren, die bestimmte Größenschwellen überschreiten. Betroffen sind grundsätzlich Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro – sofern sie in einem der regulierten Bereiche tätig sind. Zu diesen Sektoren zählen neben Energie, Gesundheit und digitaler Infrastruktur auch Bereiche wie Logistik, Lebensmittelproduktion, Maschinenbau, Chemie und verarbeitendes Gewerbe.
Innerhalb dieser Gruppe unterscheidet das Gesetz zwischen „wichtigen" und „besonders wichtigen" Einrichtungen – je nach Größe und Sektor. Davon hängen der Umfang der Aufsicht und die möglichen Bußgelder ab: bis zu 7 Millionen Euro für wichtige und bis zu 10 Millionen Euro für besonders wichtige Einrichtungen, alternativ ein prozentualer Anteil am weltweiten Jahresumsatz. Hinzu kommt die persönliche Haftung der Geschäftsführung, die das Gesetz explizit verankert.
Wichtig: Das BSI benachrichtigt betroffene Unternehmen nicht aktiv. Jedes Unternehmen muss selbst prüfen, ob es unter das Gesetz fällt, und dies im Zweifel auch dokumentieren können.
Der entscheidende Punkt für Betriebe unterhalb der Schwellenwerte
Wer weniger als 50 Mitarbeitende hat und unter 10 Millionen Euro Umsatz liegt, ist zunächst nicht direkt vom Gesetz erfasst. Für viele KMU ist das der Moment, an dem das Thema abgehakt wird. Das ist ein Fehler.
Denn das NIS2-Gesetz verpflichtet direkt betroffene Unternehmen ausdrücklich dazu, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten – inklusive der unmittelbaren Zulieferer und Dienstleister. Das bedeutet in der Praxis: Ein Krankenhaus, ein Energieversorger oder ein größerer Maschinenbauer, der unter NIS2 fällt, muss nachweisen können, dass auch seine Dienstleister und Zulieferer angemessene Sicherheitsstandards einhalten. Weil er das gesetzlich nicht direkt erzwingen kann, wird er es vertraglich tun – über Klauseln zu Informationssicherheit, Audit-Rechten, Meldepflichten bei Vorfällen und Nachweispflichten.
Diese Anforderungen landen dann in den Verträgen kleiner Dienstleister, IT-Betriebe und Zulieferer – unabhängig davon, ob diese selbst formal unter NIS2 fallen. Wer als Auftragnehmer eines NIS2-pflichtigen Unternehmens arbeitet, wird die Anforderungen über den Vertrag zu spüren bekommen. Das BSI beaufsichtigt solche Betriebe zwar nicht direkt, der Auftraggeber aber schon.
Was konkret gefordert wird
Die Maßnahmen, die NIS2 von direkt betroffenen Einrichtungen verlangt und die über die Lieferkette weitergereicht werden, sind in der Sache keine Neuerfindung. Es geht um das, was IT-Sicherheitsexperten seit Jahren empfehlen: ein dokumentiertes Risikomanagement, Konzepte zur Behandlung von Sicherheitsvorfällen, getestete Backups und Business-Continuity-Planung, Multi-Faktor-Authentifizierung, Zugriffskontrollen, Patch-Management und regelmäßige Sicherheitsschulungen für Mitarbeitende.
Der Unterschied zu früher: Diese Maßnahmen müssen jetzt nicht nur vorhanden sein, sondern nachgewiesen werden. Wer einen Sicherheitsvorfall hatte und im Nachhinein keine Dokumentation vorlegen kann, hat ein Problem – gegenüber dem BSI, wenn direkt betroffen, oder gegenüber dem Auftraggeber, wenn indirekt über die Lieferkette eingebunden.
Betroffenheit eigenständig prüfen
Ob ein Unternehmen direkt unter NIS2 fällt, hängt von Sektor, Mitarbeiterzahl, Umsatz und teilweise auch von der Konzernzugehörigkeit ab. Wer Teil einer größeren Unternehmensgruppe ist, kann über eine Konzernklausel betroffen sein, auch wenn das eigene Unternehmen für sich betrachtet unter den Schwellen liegt. Die Prüfung erfordert eine sorgfältige Analyse der eigenen Tätigkeit anhand der gesetzlichen Sektordefinitionen.
Das BSI stellt dafür eine interaktive Betroffenheitsprüfung auf seiner Website bereit. Das Ergebnis dieser Prüfung ist nicht rechtsverbindlich, gibt aber eine belastbare erste Orientierung. Wer zum Schluss kommt, nicht betroffen zu sein, sollte diese Einschätzung und ihre Grundlage dokumentieren – für den Fall, dass sie später in Frage gestellt wird. Die Links zu den offiziellen Informationsquellen finden sich am Ende dieses Beitrags.
Was das für KMU praktisch bedeutet
Für Betriebe, die direkt unter NIS2 fallen und die Registrierungsfrist beim BSI (6. März 2026) verpasst haben, besteht noch Handlungsbedarf – die Pflichten gelten, auch ohne Registrierung. Wer noch keine Gap-Analyse gemacht hat, die den eigenen Stand gegenüber den gesetzlichen Anforderungen erfasst, sollte das nachholen.
Für Betriebe, die nicht direkt betroffen sind, aber in der Lieferkette eines NIS2-pflichtigen Unternehmens arbeiten oder das in Zukunft könnten, lautet die relevante Frage nicht „Müssen wir das machen?", sondern „Können wir es nachweisen, wenn es vertraglich gefordert wird?" Ein belastbares IT-Sicherheitsniveau und die Fähigkeit, es zu dokumentieren, werden zunehmend zur Voraussetzung für Geschäftsbeziehungen – nicht nur zur Compliance-Übung.
Wer jetzt den eigenen Sicherheitsstand analysiert, Lücken schließt und eine nachvollziehbare Dokumentation aufbaut, ist nicht nur besser auf NIS2 vorbereitet. Er hat auch eine belastbarere Grundlage für Cyberversicherungen, DSGVO-Compliance und künftige Anforderungen aus der Lieferkette.